慢雾科技警告Phantom钱包漏洞,导入不明助记词或致资产被盗
2025年2月12日,慢雾科技首席信息安全官23pds发布安全警告,指出Phantom钱包的最新版本可能存在一个严重的安全漏洞。根据受害者反馈,Phantom钱包中的“Phantom Profile”功能存在风险,当用户导入来源不明的助记词时,若该助记词已与攻击者的Phantom Profile账户绑定,钱包将自动登录到攻击者的账户系统,从而使用户的资产面临被盗的风险。
据了解,Phantom钱包最近推出的版本采用了统一账户系统(Unified Profile System),这一设计本意是为了简化用户体验,统一管理钱包账户。然而,这一系统设计不当,导致了严重的安全隐患。具体来说,当用户导入来自不明来源的助记词时,系统会自动识别并登录到与该助记词关联的Phantom Profile账户,而不是仅仅导入钱包地址。这意味着攻击者能够通过控制一个关联了特定助记词的Phantom Profile账户,未经用户同意自动登录到他们的设备,并获得访问权限。
受害者表示,当未开启Phantom Profile的用户导入这类助记词时,钱包会自动登录到攻击者的账户系统,而非仅仅导入单一钱包地址。由于这一漏洞,攻击者不仅能绕过钱包的正常授权流程,还能够监控用户后续的存款行为,并在用户不知情的情况下实施盗币。攻击者甚至可能通过这一方式实施针对性的资金盗窃,将用户的资产转移到他们控制的地址。
23pds强调,任何情况下都不应导入来源不明的助记词,特别是在当前的Phantom钱包版本中,这种操作存在严重的安全风险。为了避免遭遇盗币风险,安全专家建议用户在导入新的钱包时,尽量使用全新的设备进行操作,以确保不受潜在恶意软件或攻击者的干扰。特别是对于存储大量数字资产的用户,更应避免在已知不安全的环境中导入助记词或进行任何与钱包相关的操作。
此事件再次提醒了加密货币用户,在使用任何加密钱包时,尤其是在涉及助记词和私钥管理的操作中,必须保持高度警惕。尽量确保所有助记词、私钥和账户信息的来源可靠,避免使用来自未知来源的助记词或分享任何与钱包相关的敏感信息。对于可能存在的安全漏洞,用户也应及时关注官方的安全更新,并根据开发方的指引定期更新钱包软件,以降低潜在的风险。
在Phantom钱包事件爆发后,安全专家还建议所有用户,尤其是资产较为丰富的用户,尽可能分散存储资产,避免将所有资金存储在单一的钱包或账户中。这一策略可以有效降低单一漏洞或攻击导致的资金损失风险。
总结: 慢雾科技警告Phantom钱包最新版本可能存在安全漏洞,特别是在导入不明来源助记词时,用户的资产可能会面临被盗的风险。攻击者能够借助Phantom Profile功能绕过授权流程,自动登录受害者账户,监控并盗取资产。为了保障数字资产安全,用户应避免导入不明助记词,并在使用钱包时提高警惕。
